По данным мониторинга, проведенного платформой мониторинга, раннего предупреждения и блокировки угроз безопасности EagleEye компании Beosin, протокол Socket подвергся атаке злоумышленника с внедрением вызовов, что привело к краже большого количества авторизованных пользовательских средств. Эта атака происходит главным образом из-за небезопасных вызовов функции PerformAction контракта Socket. Функция этой функции заключается в том, что вызывающий абонент может обменять WETH на ETH, а вызывающему абоненту необходимо обменять переданный в контракт WETH на ETH посредством вызова WETH, иначе проверка баланса не пройдет. Само собой разумеется, что вызов в функции может вызывать только функцию вывода контракта WETH, но команда проекта не учла, что количество WETH, передаваемых вызывающей стороной, равно 0, поэтому вызывающая сторона может вызывать другие указанные функции в позвоните и сможете пройти проверку баланса. Злоумышленник создает данные вызова и вызывает передачу любого токена для передачи токенов, авторизованных другими пользователями в контракте, на адрес злоумышленника. В настоящее время злоумышленник конвертирует украденные средства в ETH и сохраняет их на адрес злоумышленника.Beosin продолжит следить за средствами.
Все комментарии